Ar­vioin­ti­neu­vos­to ky­ber­tur­val­li­suus­di­rek­tii­vin täy­tän­töön­pa­nos­ta: Yrityksille aiheutuvia kustannuksia arvioitava tarkemmin

Kyberturvallisuusdirektiivin (NIS 2) täytäntöönpanoa koskevan esityksen tavoitteena on vahvistaa kyberturvallisuuden tasoa asettamalla laajalle joukolle yksityisiä ja julkisia toimijoita riskienhallinta- ja raportointivelvoitteita. Direktiivi pantaisiin täytäntöön säätämällä uusi laki kyberturvallisuuden riskienhallinnasta. Julkisen sektorin osalta velvoitteista säädettäisiin myös tiedonhallintalaissa (laki julkisen hallinnon tiedonhallinnasta, 906/2019). Valvonta järjestettäisiin sektorikohtaisesti. Esityksessä säädettäisiin myös tietoturvaloukkauksia tutkivasta ja niihin reagoivasta yksiköstä, kansallisesta kyberturvallisuusstrategiasta ja kyberkriisinhallintakehyksestä. 

Esityksessä on arvioitu elintarvike- ja valmistussektoreille uusista riskienhallintavelvoitteista aiheutuvia kustannusvaikutuksia erillisselvityksen ja sääntelytaakkalaskurin avulla. Esityksessä on kuvattu laajasti täytäntöönpantavaa direktiiviä, ja siitä käy hyvin ilmi kansallinen liikkumavara ja se, miten sitä ehdotetaan käytettäväksi. 

Sääntelykokonaisuus on mutkikas ja laaja, minkä vuoksi sen ymmärrettävyyteen tulisi kiinnittää huomiota. Sääntelyn piiriin tulevien toimijoiden kokonaismäärästä ei saa käsitystä. Esityksessä tulisi arvioida suuntaa-antavasti toimijoiden kokonaismäärää ja havainnollistaa sääntelyn eroja erilaisten toimijoiden välillä. 

Esityksessä tulisi käsitellä yrityksille velvoitteista aiheutuvia kustannuksia esimerkiksi arvioimalla tarkemmin kustannuksia suhteessa liikevaihtoon ja IT-kustannuksiin. Esityksessä tulisi myös arvioida kustannuksia eri kokoisille yrityksille. Lisäksi tulisi kuvata raportointivelvollisuuksia sekä niistä aiheutuvia kustannuksia ja hallinnollista taakkaa. 

Sääntelyyn liittyviä riskejä ja epävarmuuksia voitaisiin käsitellä laajemmin vaikutusarvioiden yhteydessä. Jos esityksellä on yhteiskunnan häiriöttömän toiminnan kautta olennaisia vaikutuksia kansalaisille, niitä tulisi käsitellä esityksessä.

Lainsäädännön arviointineuvoston lausunto on annettu kyberturvallisuusdirektiivin täytäntöönpanoa koskevasta hallituksen esityksestä (hankenumero: LVM027:00/2023), jonka liikenne- ja viestintäministeriö toimitti arviointineuvoston käyttöön sähköpostitse 13.2.2024. Lausunto on julkinen.

Arviointineuvosto katsoo, että hallituksen esitysluonnos noudattaa välttävästi lainvalmistelun vaikutusarviointiohjetta. Hallituksen esitysluonnoksessa on olennaisia puutteita, ja esitysluonnosta tulee korjata neuvoston lausunnon mukaisesti ennen hallituksen esityksen antamista. 

Lainsäädännön arviointineuvosto on itsenäinen ja riippumaton toimielin, jonka tehtävänä on antaa lausuntoja hallituksen esitysten luonnoksista ja niiden vaikutusarvioinneista.

Lähde: valtioneuvoston tiedote.